Towers Watson Media

Gegevensverwerkingsprotocol

Versie 1

Dit gegevensverwerkingsprotocol (het “Protocol”) legt uit hoe Willis Towers Watson persoonsgegevens behandelt namens haar cliënten, klanten of licentiehouders (“Cliënt”).

Het Protocol is onderdeel van elke overeenkomst tussen Willis Towers Watson en de Cliënt die er uitdrukkelijk naar verwijst (de “Overeenkomst”). Wanneer dit Protocol begrippen gebruikt die worden gedefinieerd in de Algemene verordening gegevensbescherming (Verordening (EU) 2016/679) (de “Verordening”) dan zijn de definities in die Verordening van toepassing.

Gegevensverwerking

Met betrekking tot persoonsgegevens verwerkt door Willis Towers Watson namens de Cliënt (zie Bijlage 1) zal Willis Towers Watson de volgende vereisten nakomen:

Beperkingen op gebruik. Willis Towers Watson zal alleen persoonsgegevens verwerken om de relevante dienst te verlenen, zoals schriftelijk van tijd tot tijd door de Cliënt wordt geïnstrueerd of zoals anderszins wettelijk vereist.

Vertrouwelijkheid. Willis Towers Watson zal persoonsgegevens vertrouwelijk houden en van het personeel van Willis Towers Watson dat persoonsgegevens verwerkt verlangen dat zij alle persoonsgegevens zullen beschermen overeenkomstig de vereisten van dit Protocol.

Informatiebeveiligingsprogramma. Willis Towers Watson handhaaft een schriftelijk informatiebeveiligingsprogramma dat gepaste administratieve, technische en fysieke maatregelen bevat om persoonsgegevens te beschermen tegen verwachte bedreigingen of gevaren voor de veiligheid, vertrouwelijkheid of integriteit ervan.

Assistentie. Willis Towers Watson zal:

i. Rekening houdend met de aard van de verwerking en voor zover mogelijk, technische en organisatorische maatregelen implementeren om de Cliënt te assisteren bij het nakomen van zijn verplichting om te reageren op alle verzoeken van individuen die hun rechten uitoefenen op basis van Hoofdstuk III van de Verordening;

ii. Rekening houdend met de aard van de verwerking en de informatie die Willis Towers Watson tot haar beschikking heeft, de Cliënt assisteren bij het nakomen van zijn verplichting om gepaste beveiligingsmaatregelen te implementeren, schendingen van vertrouwelijkheid van persoonsgegevens te melden aan toezichthoudende instanties en individuen, en effectbeoordelingen van gegevensbescherming uit te voeren en met toezichthoudende instanties te overleggen met betrekking tot effectbeoordelingen van gegevensbescherming wanneer dat is vereist; en

iii. Alle informatie aan de Cliënt beschikbaar stellen die de Cliënt redelijkerwijs verzoekt om de Cliënt te assisteren bij het aantonen dat aan de verplichtingen uiteengezet in Artikel 28 van de Verordening met betrekking tot de aanstelling van gegevensverwerkers is voldaan en audits door de Cliënt of een andere auditor benoemd door de Cliënt mogelijk te maken en hieraan bij te dragen

Willis Towers Watson mag een redelijke vergoeding vragen voor alle hierboven beschreven assistentie, behalve wanneer assistentie vereist werd als direct gevolg van de eigen handelingen of nalatigheden van Willis Towers Watson. In dat geval is de assistentie op kosten van Willis Towers Watson. De Cliënt zal Willis Towers Watson dertig (30) dagen van tevoren op de hoogte stellen van elk auditverzoek; mag niet deelnemen aan een audit die de vertrouwelijkheidsverplichtingen tegenover alle andere cliënten en klanten van Willis Towers Watson in gevaar zou brengen en zal, als hij een andere auditor wenst te benoemen om de audit uit te voeren, ervoor zorgen dat de auditor een vertrouwelijkheidsovereenkomst aangaat met Willis Towers Watson op een dusdanige wijze die Willis Towers Watson redelijkerwijs zal vereisen.

Beveiligingsincident. Willis Towers Watson zal zonder onnodige vertraging de Cliënt informeren wanneer Willis Towers Watson redelijkerwijs gelooft dat er een beveiligingsschending heeft plaatsgevonden die leidde tot onopzettelijke of onwettige vernieling, verlies, verandering, onbevoegde bekendmaking van, of toegang tot persoonsgegevens verwerkt door Willis Towers Watson in het kader van dit Protocol (“Beveiligingsincident”). Nadat de Cliënt is geïnformeerd, zal Willis Towers Watson het Beveiligingsincident onderzoeken, noodzakelijke maatregelen nemen om het effect van het Beveiligingsincident te elimineren of te beperken en de Cliënt op de hoogte houden van de status van het Beveiligingsincident en alle betrokken zaken.

Terugzending of verwijdering. De Cliënt mag Willis Towers Watson instrueren om persoonsgegevens aan het eind van de periode waarin Willis Towers Watson deze persoonsgegevens van de Cliënt verwerkt, te wissen of terug te zenden, zoals gespecificeerd in Bijlage 1.

Subverwerking

De Cliënt begrijpt dat Willis Towers Watson subverwerkers mag gebruiken om de diensten op grond van de Overeenkomst te verlenen. Deze zullen worden vermeld en overeengekomen in de specifieke Overeenkomst die de Cliënt indien van toepassing is aangegaan met Willis Towers Watson. Willis Towers Watson zal in de eerste plaats verantwoordelijk zijn voor de naleving van haar verplichtingen op grond van dit Protocol en zal ervoor zorgen dat haar overeenkomsten met deze subverwerkers ten minste net zo beperkend zijn als dit Protocol. Willis Towers Watson mag van tijd tot tijd subverwerkers veranderen of toevoegen na kennisgeving hiervan binnen een redelijke termijn aan de Cliënt, zodat de Cliënt op redelijke grond bezwaar kan aantekenen tegen de voorgestelde verandering.

Geanonimiseerde en gepseudonimiseerde gegevens

De Cliënt erkent dat de diensten pseudonimisering en anonimisering bevatten om redenen van geaggregeerde rapportage en (trend)onderzoek en stemt ermee in dat Willis Towers Watson gepseudonimiseerde en geanonimiseerde gegevens kan gebruiken om haar eigen zakelijke redenen en Willis Towers Watson zal alle toepasselijke gegevensbeschermingswetten naleven met betrekking tot een dergelijke verwerking.

Gegevens

De Cliënt bevestigt dat Willis Towers Watson persoonsgegevens kan overdragen naar haar gelieerde ondernemingen en subverwerkers binnen en buiten de Europese Economische Ruimte (EER) om redenen van ondersteuning en back-up. Willis Towers Watson heeft maatregelen genomen om persoonsgegevens te beschermen die worden overgedragen naar landen buiten de EER, waaronder gepaste contractuele bescherming.

Bijlage 1 - Beschrijving van verwerking van persoonsgegevens

1. Onderwerp, aard en doel

Alle verwerkingsactiviteiten (inclusief de verzameling, organisatie en analyse van persoonsgegevens) zoals ze redelijkerwijs vereist zijn om de verlening van de diensten beschreven in de Overeenkomst mogelijk te maken of te ondersteunen.

2. Duur van verwerking van persoonsgegevens

Willis Towers Watson zal de persoonsgegevens verwerken zolang zij diensten verleent aan de Klant en zal de persoonsgegevens in het archief bewaren na die datum voor zover dat noodzakelijk is voor legitieme zakelijke doeleinden.

3. Categorieën van individuen:

De betrokkenen kunnen individuen zijn die in een polis of regeling worden genoemd op basis waarvan Willis Towers Watson haar diensten dient te verlenen en/of individuen die begunstigden zijn van, of vorderingen hebben gedaan op grond van, of anderszins betrokken zijn bij een dergelijke polis of regeling. In de meeste gevallen vallen onder betrokkenen: (1) werknemers, aannemers of andere medewerkers van de Klant ("Medewerkers") en/of hun familieleden, vertegenwoordigers of anderen verbonden aan Medewerkers; (2) voormalige, bestaande of toekomstige klanten van de Klant, en/of hun werknemers of andere individuen aan hen verbonden, en/of hun familieleden, vertegenwoordigers of anderen aan hen verbonden; en/of (3) voormalige, bestaande of toekomstige klagers of eisers in verband met een verzekeringspolis, en/of hun familieleden, vertegenwoordigers of anderen aan hen verbonden.

4. Soorten persoonsgegevens:

De diensten op grond van de Overeenkomst kunnen inhouden dat de volgende soorten persoonsgegevens worden verwerkt: namen en contactinformatie;

  • demografische informatie (zoals geslacht, leeftijd, geboortedatum, burgerlijke staat, nationaliteit, opleiding/werkervaring, academische/professionele kwalificaties, dienstverbandgegevens, hobby's, gezinssamenstelling en afhankelijke personen);
  • documentatie over persoonlijke identificatie en bijbehorende informatie zoals paspoortnummers en werknemersidentificatienummers;
  • financiële en betalingsgegevens zoals bankrekeningnummers en transactie-informatie;
  • informatie met betrekking tot de verlening van diensten, zoals polisinformatie en vorderingeninformatie, waaronder informatie met betrekking tot incidenten die leiden tot vorderingen en bijbehorende verliezen;
  • bestanden van communicatie en CCTV-beelden; en
  • personeelsbeheergegevens, zoals functieomschrijving en taken; informatie over uitkeringen en vergoedingen; informatie over afhankelijken/begunstigden; informatie over opleiding, academische en professionele kwalificaties; contactinformatie voor spoedgevallen; en prestatiebeheerinformatie.

5. Soorten bijzondere categorieën persoonsgegevens waarnaar wordt verwezen in artikel 9 van de Verordening:

De persoonsgegevens verwerkt door Willis Towers Watson kunnen de volgende bijzondere categorieën persoonsgegevens bevatten: persoonlijke kenmerken en omstandigheden van gevoelige aard zoals ras of etnische afkomst, seksleven, mentale en fysieke gezondheid, genetische informatie, gegevens over letsel, ontvangen medicatie/behandeling, politieke of religieuze overtuigingen, vakbondslidmaatschap, strafbladen, boetes en overige, zoals strafregisters.